発見した脆弱性リスト
心臓に悪いので本当は見つけたくないんだけど……
2020年
とあるゲームの公式WebサイトにおけるXSS脆弱性
IPAに報告し現在は修正済み
IPAには情報非開示依頼がある
が、今回は単体のWebサイトなので「脆弱性が修正されるまでの間」となる
ref: https://www.ipa.go.jp/security/vuln/faq.html#Q1-11
今回の場合は脆弱性が既に修正済みのため適用されない
ので公開していい(はず)
2021年
CVE-2020-28502
とあるnpmパッケージにおける特定条件下での Arbitrary Code Injection
2024年
DiscordのiOSアプリでアクティビティのURLに制約がない ($750)
前提: Discordのアクティビティは *.discordsays.com のリバースプロキシを経由してホストされており、このリバースプロキシで Discord の関連サーバー以外へのリクエストができない CSP などの制約が付与されている
これの裏側はアクティビティの作者のサーバーにプロキシされている
https://discord.com/developers/docs/activities/development-guides#url-mapping 参照
Webおよびデスクトップ版の Discord は discord.com がさらに frame-src の制約付き CSP を配っている
ので、例えば <a href="https://example.com">test</a> をアクティビティ内に書いて押させても CSP で弾かれる
が、なんか iOS アプリ版には相当する制約がなかった
ので、上記 HTML を iOS アプリから押すと普通に開ける
とはいえ普通の WebView なのでそんな変なことはできない
https://discord.com/security で報告して (裏側は HackerOne) 、750 USD の bounty を貰いました ありがとう
少なくともアプリバージョン 230.0 では修正済み、disclose request も通っているので公開しても問題はないはずだが Discord が HackerOne の private org 的な機能を使っているせいか HackerOne 上で公開できないのでこちらで公開
#発見者俺